エフセキュアブログ

by:高間 剛典

内部犯行 vs 内部告発 -- 内部情報流出をどのように捉えるのか

情報セキュリティの脅威のひとつに、かねてから内部者による犯行が挙げられて来た。その時によく例に挙る想定犯人像は、不満を持つ従業員や解雇者だった。ところが会計監査会社KPMGの調査を基にした最近の記事によると、この想定がどうやら当っていないことがわかる。KPMGが監査で関わった69ヶ国の企業348件での不正事件を調査したところ、CEOが犯行に及んだものが26%にのぼり、2007年の11%から比べて上昇しているのだ。また内部犯行に関わった従業員の32%は役員を含む会計部門だった。ちなみに最も「不満を持つ従業員」の想定に当たりそうな18〜25歳の犯行は2%だと云う。
 CEOs - the new corporate fraudsters http://www.iol.co.za/sundayindependent/ceos-the-new-corporate-fraudstersds-1.1144649

  実際に日本でも、光学機器メーカーのオリンパスで現在起きている、日本人役員によるイギリス人マイケル・ウッドフォード社長CEOの突然の解職と、ウッドフォード氏が指摘しているオリンパスが近年行った不審な企業買収や、その際に2008年に支払ったファイナンシャル・アドバイザーへの6億8700万ドル(現在のレートで約520億円)の不透明な行方が問題になっているが、既にアメリカでもFBIが捜査に動き出すなど、これはエンロン社で起きたような経営陣による大きな企業不正会計事件に発展する可能性がある。この場合、もしかするとCEO以外の経営役員がすべて不正に関与していたかもしれない状況で、CEOが自ら内部告発者になったという事になる。

  さらに、昨年から大きく注目を集めている内部告発情報流出サイト「Wikileaks」による「Collateral Murder」などアメリカ軍や政府の公電情報の流出や、その効果を見て後に続き立ち上がっている様々なリークサイトの動きもこれに重なっている。これらには、ロシアに特化したRusleaksのような活動家が始めたサイトから、中東Al Jazeeraのような大手ニュースメディアが立ち上げた内部告発受付サイトまである。さらにアノニマスが立ち上げた内部告発活動のAnonymous Analyticsまで出現した。これらのサイトを使う事で内部告発は今までになく容易で安全な行為になりつつある。
 http://wikileaks.org/
 https://rusleaks.org/
 http://transparency.aljazeera.net/
 http://anonanalytics.com/

  ところがここで内部情報流出について見てみると、内部犯行の場合と内部告発の場合とでは対立している事が解る。

  企業や組織の内部規則や情報セキュリティポリシーなどは、その組織が犯罪や反社会的行為に携わらない状態を前提としている。そのため通常ならば企業や組織の内部情報を外部に流出させることは内部犯行として捉えられる。しかしもし企業や組織が犯罪や反社会的行為に手を染めているなら条件は同じではなく、企業や組織の内部情報を外部に流出させることは内部告発の場合がありうる。

  もしあなたが企業や組織の情報セキュリティ担当者なら、情報流出の第1発見者になる可能性が高いかもしれない。だが、発見したものが経営陣の不正の証拠になる通信内容やその内部告発だったならば、それをそのまま組織に報告してしまえるだろうか?

  もしここであなたが内部告発の情報流出を発見したとして、流出を食い止めて潰してしまえば、それは犯罪行為の進行に関与するのと同義になり共犯者の立場に置かれてしまうかもしれない。あるいは、あなた自身が経営陣の内部犯行の通信を目にしたなら、そこであなたが自身の身を案じて内部告発を行わなければその情報は法執行機関に届かず、しばらくは平穏を保てるかもしれない。だが、最終的に不正が明るみに出た場合にはあなたは事態を知らなかったとは言えず、やはり共犯者の立場に置かれてしまうかもしれない。

  情報流出は、それが内部犯行か内部告発なのかによって、あなたの判断次第で将来に大きな影響を及ぼすものだと理解しなければならないだろう。「私は規則に従っただけ」という言い訳が通じない事態が将来ありうるのだから。

LulzSecの解散宣言は混乱の収束を意味するのか?

6月26日、LulzSecは唐突に活動開始50日目になったので解散すると宣言した。

  LulzSecはここ2ヶ月にわたりNPRやFOXなどの放送局からCIAやFBI関連InfraGuardやNATOなど国際的な政治・軍事機関やSony Picturesなど広範囲に侵入しては内部情報を流出させる騒ぎを引き起こしていた。
Lulzの事件時間軸グラフ
そのため、法執行機関の捜査の手も迫っていて、Lulz自身は関連を否定していたがイギリス在住の19歳Ryan Clearyが逮捕されている。
「LulzSec」の容疑者を拘留 http://blog.f-secure.jp/archives/50611764.html

  ただし興味深いのは、LulzSecに敵対心を燃やすいくつものハッカーグループの登場と、彼らの執拗なLulz正体暴露の追求活動がLulz解散宣言の直前に起きていたことだ。最初に敵対したのは、@Th3J35t3r (The Jester)というWikileaksサイトにDDoSを仕掛けたことで知られるアメリカ愛国者ハッカーだった。そしてWeb NinjasがLulz正体暴露宣言し、さらにオランダの@TeaMp0isoN (Team Poison)やアノニマスを嫌う@On3iroiも追求を始めた。

  そしてLulzSecが解散宣言した直後に、The A-Teamと呼ばれるグループがLulzメンバー多数の個人情報をPastebinに曝した(Doxedという)。
http://pastebin.com/iVujX4TR
 (@satomitw氏による訳) http://longtailworld.blogspot.com/2011/06/lulzseclulzsec-gn0sis-anonops-doxd.html
これによるとLulzのメンバーはエリート格のSabuと広報役Topiaryに、Gnosisという集まりに属するnigg, eekdacat, uncommon, kayla, lauralieなどが居たようだ。
またTh3J35t3rもSabuの個人情報を曝した。
http://pastebin.com/76TsPHeU
これらの暴露情報は、法執行機関の捜査を助けることになり、自動的にLulzへの包囲網は狭まる。

  しかしはたして、これでLulzSecの活動は終了したのだろうか? 話はそんなに単純ではないだろう。このPastebinリンクをポストしたThe A-Teamメンバーと思われる人物のtweetは1日で削除されているようで、彼らの間での抗争が続いているための自衛の可能性も考えられる。さらにLulzにより対抗してThe A-Teamの個人情報が曝された。
http://pastebin.com/1MUPY2P7

  そしてLulzは10日ほど前から「Operation Anti-Security (反セキュリティ作戦)」を宣言し、多数のハッカーが参加することを呼びかけ始めた。この #OpAntiSec では、Lulzは政府と銀行とセキュリティで儲ける企業をターゲットとして情報流出させろと煽っていた。これに呼応するようにブラジルやイギリスでネットワーク侵入・アカウント情報流出が起きた。その内、トニー・ブレア前イギリス首相のウェブメールサーバーが侵入され、メールアドレスや住所録情報か盗み出された事件では、TeaMp0isoNが関与を表明している。

  これで状況はさらに混沌としたものになった。ハッカーグループ間の敵も味方も入り乱れて、その上にLulzSecは#OpAntiSecのアイデアだけバラ撒いて解散宣言してしまったのだ。アイデアだけあり牽引役のいない状況ほど混乱を長引かせるものはないだろう。誰が何処を攻撃しても#OpAntiSecなのだから。

Welcome to a Dark Future - Stuxnetと殺害されたイラン科学者

  11月29日月曜、イランのテヘランで核施設に関わる2人の科学者が暗殺者に狙われた。イランの公式ニュースIRNAによると、Fereydoun Abbasi氏はケガを負うだけで済んだが、Majid Shahryari氏は殺害された。
http://www.irna.ir/ENNewsShow.aspx?NID=30097553

  DEBKA Fileによると、Majid Shahryari氏は朝7:45amに車を運転中にバイクで接近してきた暗殺者グループに攻撃された。当初のニュースでは2人とも車を爆発物で狙われたと言われていたが、DEBKA FileによるとMajid Shahryari氏の車に銃痕がある写真がニュースで公開されていたことから、銃による殺害と見なされている。

  しかしこのDEBKA Fileニュースのもっと興味深い点は、Majid Shahryari氏はイランのStuxnetに関するトップの専門家だということをヘッドラインで報じていたことだ。
http://www.debka.com/article/20406/

  ドイツのシーメンス社のSCADAシステムのみを狙って感染するStuxnetワームについては、6月の発見以降の動きについて、F-Secureのショーン・サリバンの『「Stuxnet」再び:質疑応答』に改訂版がまとめられている。

  この2人のイラン人科学者暗殺事件の直前、イランのAhmadinejad大統領は記者会見で、イランのウラニウム濃縮施設がコンピューターウィルスにより被害を受けたことを認める発言をしていた。
http://www.theregister.co.uk/2010/11/29/stuxnet_stuxnet/

  これに先立つ11月24日、DEBKA FileはイランのNatanz(ナタンズ)のウラニウム濃縮施設で11月16日から23日の間にトラブルが発生したため施設がシャットダウンされ、この件はウィーンのIAEAにも報告されていたことを報じていた。このニュースの中では、Stuxnetはイラン軍システムにも感染してレーダー装置に影響を与えたとするレポートを、DEBKA Fileは入手しているとも報じていた。
http://www.debka.com/article/9168/

  Stuxnetを誰が開発したのかについては未だに不明なままだが、4つのウィンドウズ・ゼロデイを使用する高度な技術力で開発され、攻撃対象をイランの核施設が使用する機材に著しく絞って設計されたワームであることから、テロ組織か国家の関与によるという推測がなされて来た。しかしその誰かは、ソフトウェアだけでなく実際の暗殺という物理オペレーションも同時に実行する誰かだという事が、この事件で浮かび上がって来た。これはスパイ映画ではなく、現実に起こったことだ。

  コンピューターセキュリティと物理セキュリティの関係について、以前からある程度の議論はあったが、このイラン科学者の暗殺はそれ何段も高めてしまった。そしてイラン以前にも、ブラジルの銀行のITセキュリティ担当者が犯罪組織に殺害される事件も起きている。ついにコンピューターセキュリティ専門家は実際に命を狙われるターゲットになることがはっきりした訳だ。

  10月に発表された、リスクマネジメント・コンサルティングを行うKroll社の出した世界の不正行為の現状に関する報告書「Global Fraud Report」では、情報と電子的不正行為によるものが伝統的な不正行為を量的に超えたという視点が含まれていて一部で話題になった。ここから推測して、今後犯罪組織がますますサイバー犯罪の比重を高めて来る可能性は高い。そうなれば、マルウェアのリバースエンジニアリングなどを行うセキュリティ専門家も、犯罪組織にとっての邪魔者として攻撃対象にされてくる危険性が高まる可能性がある。今の犯罪組織はコンピューターも銃もどちらも使う。

  コンピューターセキュリティ専門家には、自分の身の安全に注意しなければならない時代が迫っているのかもしれない。 Welcome to a dark future.

LNK脆弱性を悪用したStuxnetワームはイラン核施設を狙ったマルウェア兵器か?

  7月に報告されたWindowsのLNKショートカット脆弱性のゼロディを悪用する「Stuxnet」ワームについてはF-Secureプログでも多数報告していますが、このワームはWindows上で動くドイツのSiemens社製SCADAシステムのマネジメントソフトウェア「WinCC」をターゲットにしているのが特徴でした。
「スパイ攻撃がLNKショートカットファイルを使用」
「ついに標的に狙われたSCADAシステム」
「LNKエクスプロイトに関するその後の分析」
「LNK脆弱性: ドキュメントの埋め込みショートカット」
「ショートカット・ゼロディ・エクスプロイットのコードが公開」
「LNK脆弱性:Chymine、Vobfus、SalityおよびZeus」

  さらにStuxnetワームの活動の特徴として、7月の時点でもイランでの高い感染率 が指摘されていました。Symantec社のブログによると、SymantecではStuxnetワームのコマンド&コントロール(C&C)サーバーが2つ存在することを特定し、ワームからC&Cへ向かう通信トラフィックをリダイレクトする作業を行っていましたが、トラフィックの観測によると7月22日までの72時間の間にワームが発信してきた約14000のIPアドレスが見つかり、さらにその58.85%がイランから、18.22%がインドネシアから、8.31%がインドから、2.57%がアゼルバイジャンからであることを発見しています。
「W32.Stuxnet — Network Information」 Symantec Blogs

  SCADAとは「Supervisory Control and Data Acquisition」の略で、工場のオートメーションなどに使われる、機器制御とモニタリングのデータ収集とを行うための取り付けモジュール型コンピューター装置のことを指します。SCADAは、工場だけでなく電力網、ガス供給、水道、石油パイプラインなど重要インフラでも大規模に使用されています。以前からSCADAのセキュリティについては、サイバー戦争やサイバーテロに対する危惧から様々な指摘が出されて来ていました。

  Stuxnetワームは、USBデバイスに潜んで、WindowsOSのPCに挿し込まれるとスキャンを開始し、他のUSBデバイスを探して自身をコピーし感染を試みますが、もしマシン上にSiemensのWinCCソフトウェアを発見するとデフォルトパスワードでログインしようとします。このことから、イランから発信されたワームのトラフィックが60%近いということは、SimensのSCADAとコントローラーである「Simatic WinCC」がそれだけ多数イラン国内で使われていることと、感染を狙ってワームが重点的に撒かれたのがイラン国内であろうという可能性が推測されていました。

  ところが、発見から2ヶ月あまりたった9月21日付近からStuxnetに関するニュースが急激に増え始め、ついに25日にはBBCやFinancial Times、Aljazeera、Bloomberg、Christian Science Monitor、CNN、AFP、共同通信などの一般ニュースメディアに登場しました。これは、DEBKA Fileなどにも情報が現われ、イランのBushehr(ブシェール)核施設がターゲットであることがほとんど公の事実状態になったためです。
BBC 「Stuxnet worm 'targeted high-value Iranian assets'」
Finacial Times 「Malicious computer worm launched at industrial targets」
Aljazeera 「Iran 'attacked' by computer worm 」
Christian Science Monitor 「
Stuxnet malware is 'weapon' out to destroy ... Iran's Bushehr nuclear plant?」

CNN 「Stuxnet' Computer Cyber Worm Targets Iran」
AFP日本語 「工業施設システムをねらうコンピューターウイルス、米当局も調査中」
共同通信 (47ニュース) 「イラン、「サイバー攻撃受けた」 PC約3万台感染と報道」
DEBKA File 「
Tehran confirms its industrial computers under Stuxnet virus attack 」


  BBCの記事ではSiemens社のスポークスパーソンの発言として、イランの核施設はロシアの協力によるものでありSiemensはイランを30年前に離れている、ということを紹介しています。しかし、なぜイラン国内でSiemens社のSCADAが使われているかについて、2009年2月のThe Wall Street Journalの記事がたいへん示唆的な内容を示しています。これによると、Siemens社は2008年の時点でイランのガス、石油、インフラ、通信セクターにおいて4億8300万ユーロ規模のビジネスを展開しているとの見方をWSJ記事は示しています。
「How Europe's Companies Are Feeding Iran's Bomb」 The Wall Street Journal 

  じつはこれに先立つ9月17日、F-Secureのミッコ・ヒッポネンが興味深い画像リンクをTwitterにポストしていました。写っているのは、UPIが2009年2月25日に掲載したというBushehr原子力発電プラントのコンピュータースクリーンがエラーメッセージを出している模様です。これを拡大して見るとWinCCの画面であることが判り、さらにエラーメッセージは「ソフトウェア・ライセンスの期限が切れている」というものです。

  このUPIの記事には施設を視察するアフマディネジャド大統領の姿などもあります。(ただしこのWinCCの画面をよく見るとPolyacrylやSulphoric AcidやLime Milkなどの用語があるので、原発そのものではないと思われますが)。
「Iran Nuclear Issue」 UPI 

  イランの核施設はBushehr原子力発電プラントの他にNatanzに核燃料濃縮精錬所があると言われ、Stuxnetはこちらの方をターゲットにしていたと推測する見解もあります。 
「stuxnet: targeting the iranian enrichment centrifuges in Natanz?」
「A Silent Attack, but Not a Subtle One」 NYTimes

  同じ頃、ドイツのセキュリティ研究者ラルフ・ラングナーもこのUPI記事について触れ、攻撃ステップについての分析を挙げています。
「Ralph's analysis, part 2」

  ここで当然の事として、Stuxnetワームを開発したのは一体誰なのかが疑問に上がります。イランは独自に核開発を行い核兵器を保有することを公言しているため、西側諸国はイランの動静に対して神経質であり、様々な対抗措置を発動していることから、事態は国際情勢に絡むため複雑な様相になり、8月初頭の時点でも、よくある犯罪組織が開発したマルウェアではない可能性が推測されていました。イランにより「地上から消滅させる対象」と見なされているイスラエルは、イランの核開発に対して莫大な懸念を持っています。イランの核開発に対して神経質になっているアメリカは、イランに対して貿易禁止措置を行っています。すぐ隣に位置するトルコもイランの核開発を警戒しています。さらに、このような世界情勢を利用してSiemensの足を引っぱろうとする競合企業による可能性もあるかもしれません。

  Stuxnetの開発元についての推測では、すでにイスラエルを名指しする動きも出ています。9月24日のBloombergニュースにChertoff Groupのセキュリティ専門家が登場し、イスラエルがこのワームの製造元であっても驚くべきことではない、という見解を示しました。Chertoff Groupとは、名前のごとくブッシュ政権時代にアメリカ国土安全保障省の長官だったマイケル・チャートフのコンサルティング会社ですが、そこに属する専門家がイスラエルの関与を示唆したのは、それはそれで興味深いものがあります。経済関連情報を扱うZero HedgeにBloombergニュースのビデオクリップがあります。
「Security Expert Suggests Stuxnet Originated In Israel」 Zero Hedge

  他にもイスラエルのニュースサイトYnetnews.comの2009年7月7日の、イスラエルがイランに対してのサイバー戦争を見据えているという記事に載った「A contaminated USB stick would be enough,(汚染されたUSBスティックが1本あれば良い)」という、アメリカ・ワシントンで活動するサイバーセキュリティアドバイザーといわれるスコット・ボーグのコメントを根拠にする話題もあります。
「Wary of naked force, Israel eyes cyberwar on Iran」 Ynetnews

  これらの西側報道に対してイランも、核施設はStuxnetのサイバー戦の影響から安全であると9月26日に正式発表しました。
「 Official: Iran’s nuclear sites safe from Stuxnet cyber warfare 」 IRNA

  今回のStuxnetワームが示したのは、開発元がどこの国であったとしても、このような形の重要インフラを狙うサイバー戦争がリアルに進行しているということです。その後の発見によると、StuxnetワームにはLNK脆弱性だけでなく合わせて4つのゼロデイが使われていることが解明されています。その内2つはすでにパッチが出されましたが、まだ2つはパッチされていません。Stuxnetに関するさらなる詳細な報告が9月29日に開催されるVirus BulletinコンファレンスでSymantecの研究者により報告されることになっています。近日中に続報があるでしょう。
「Last-minute paper: An indepth look into Stuxnet」 Virus Bulletin

ついに標的に狙われたSCADAシステム

  先週よりWindowsのLNKショートカットファイルを使用する新たなゼロディ・エクスプロイットが、標的型攻撃に使われると懸念されています。しかし今回重要なことは、このエクスプロイットがSCADAシステムのWindows上で動くマネジメントアプリケーションをターゲットにしている点です。F-SecureのSean Sullivanのポスト  「スパイ攻撃がLNKショートカットファイルを使用」「LNKエクスプロイトに関するその後の分析」 でもこれについて少し触れられています。

  SCADAとは、工場のオートメーションなどに使われる、機器制御とモニタリングのデータ収集とを行うための取り付けモジュール型コンピューター装置のことですが、これらは工場だけでなく電力網、ガス供給、水道、石油パイプラインなど重要インフラでも大規模に使用されています。

  私は6年ほど前に重要インフラ保護関連の調査のため、サンディア研究所などアメリカ数カ所でヒアリングのために回ったことがありますが、SCADAのセキュリティはその時すでに重要な課題になっていました。その時期アメリカでは東海岸での大規模停電を経験した直後だったため、そこから検討して電力グリッドなどに使われるSCADAシステムが攻撃された場合にも大規模な電力障害が起きうると想定されていました。

  Robert McMillanによるNewYork Timesに掲載された記事 「New Virus Targets Industrial Secrets」 では、この点についてさらに掘り下げていますが、今回のLNKファイル・エクスプロイットでは、Siemens社のSCADAマネジメント・ソフトウェアの「Simatic WinCC」のみが狙われる仕組みである事が判明しているそうです。このエクスプロイットはUSBデバイスに潜み、WindowsOSのPCに挿し込まれるとまずスキャンを開始、他のUSBデバイスを探して自身をコピーしようとするか、またはSiemensのWinCCソフトウェアを発見するとデフォルトパスワードでログインしようとします。そのためSiemens社は先週金曜にはすでに顧客に対してアラートを出しているそうです。

  NYTimes記事中で、Mississippi州立大学の研究者Wesley McGrewによると、このエクスプロイット作成者がもしもっと広範囲な悪用を狙うなら、もっと普及しているSCADAマネジメント・システムのWonderwareやRSLogixを試しただろうと発言しています。今回のエクスプロイットは、SCADAを乗っ取って人質にし身代金要求するためかもしれない、という観測もあります。

  SCADAのコンピューターは、未だに1980年代の8bitや16bitのCPUのOSなど搭載しないコンピューターの世界と近いものがあり、最近流行のArduino程度の性能かそれ以下のものも多いでしょう。また使用される場所も人里離れた山奥などもあり、一度設置されると何年あるいは何十年も壊れない限り使われる可能性がありますから、ソフトウェアのアップデートも行われないで放置され得ます。またパスワードなども変更される前提になっていないことから、デバイスにハードコードされている場合もあります。

  しかし、1990年代にはSCADAの世界にもネットワーク化の波が押し寄せたために、階上階を重ねるようにTCP/IPが追加されてきました。そのため、メーカーによってはPCの世界では考えられないようなインプリメントをした場合があったようで、以前アメリカで聞いた話でも、TCP/IPのポート番号を直接制御コマンドに割り当てられたSCADAが使われた工業用ロボットがあり、セキュリティ・テストのためにポートスキャンをかけただけで、いきなりトンデモない動作を始めた例があったそうです。

  また、低速CPUでRAMも限定量しか搭載されていないコンピューターでありOSすら走っていないとしたら、ファイアーウォールやフィルタリングなどのベーシックなセキュリティ機能が入る余裕もないといえます。TCP/IP通信もむき出しのパケットが流れているため、アメリカ商務省下の国立標準技術局(NIST)ではSCADAモジュールにアドオンするためのAES暗号通信モジュールを研究していました。

  従来から、サイバー戦やサイバーテロリズムの危惧からSCADAのセキュリティについて指摘が出されて来ていましたが、今回明らかにSCADAをターゲットにしたエクスプロイットが登場したことで、現実の問題として認識する必要があります。今回の問題を指摘したのがベラルーシのアンチウィルス企業だったことは、地理的な要素から見たら偶然ではないでしょう。重要インフラのSCADAに対する攻撃が成功した場合は、国としてのインフラ機能を奪うことができます。日本でもSCADAは各方面で使われています。輸入品よりは日本の電機メーカーのものが多く使用されていると云われていますが、将来に備えて警戒が必要な分野と言えると思います。

ボットネット・アフィリエイトは登場するか? 【脅威の将来予測】

  オプトイン・ボットネットについてDancho Danchevが興味深い考察をポストしています。 "Attack of the Opt-In Botnets"

  今までは一般的に、ボットネットはそれを構成するためのマルウェアに感染させられた多数の一般ユーザーのPCによりできていると考えられています。この場合は、マルウェアはユーザー本人の意思に反してインストールされたものであり、ユーザー本人は不利益を被っていることになります。しかし、もしユーザー本人が希望してマルウェアをインストールしボットネットに自分のマシンを接続したらどうなるでしょうか?

  「オプトイン」とは本人が自分で選択することですが、Dancho Danchevはそのようなケースを「オプトイン・ボットネット」と呼び、"Attack of the Opt-In Botnets"の中で、過去にすでに起きている事例を挙げて検討しています。

  このオプトイン・ボットネットの例として挙げられているものでは、中国、グルジア、イラン、イスラエルのDDoSの例など、ユーザーが政治的モチベーションに基づき参加してきたものがほとんどです。たしかに思想・信条・政治・宗教に基づく主張から、このような集団行動のひとつとして多数のユーザーが賛同してくることはありますが、金銭的利益に基づいて行動する場合はありえないのでしょうか?

  オプトイン・ボットネットについてその方向で思索を巡らせてみると、ブログなどソーシャルメディアで一般的になっている、「アフィリエイト」の仕組みがボットネットと組み合わせられる可能性に気がつきます。ボットネットを運営する犯罪者は、SPAM配信や時間貸しDDoSなどで利益を上げています。ここでもし、マルウェアをインストールしたユーザーに対しその利益の一部を還元する仕掛けがあると、ユーザーには積極的にマルウェアをインストールする金銭的インセンティヴが発生します。そのため、今までは不利益を被っていたと考えられていたユーザーが、犯罪者の擁護に回る可能性もあります。もしマルウェアの存在が法執行機関から特定されたとしても、アフィリエイト報酬の支払ルートがマルウェア本体とは分離されていれば、ユーザーは「知らない間に感染した」という主張を続けることが比較的容易にできるでしょう。

  ソーシャルメディアでのアフィリエイトで高い報酬を得るのはなかなか難しいですが、G20国とは物価の差が10倍以上の開きがある発展途上国から見たら、その価値はまったく違います。そこにボットネットのアフィリエイト・スキームが普及してしまったら、かなりの悪夢になるでしょう。さらに犯罪者は、普及のためにネズミ講的な仕掛けを含められるかもしれません。そこではアンチウィルス・ソフトウェアはユーザーが買うものではなく、犯罪者より高い金額をユーザーに払ってインストールしてもらう必要が出て来るかもしれません。

Xmas商戦シーズンはDDoSで稼ごう #2

  Xmas商戦シーズンはDDoSで稼ごう と書いたら、実際にアメリカ時間の12月23日午後に大規模なDDoS攻撃がAmazon.comやWal-MartやExpediaなどのDNSプロバイダーNeuStar社のUltraDNSサービスに対して仕掛けられ、それら大手Eコマースサイトや同DNSサービスを利用する中小サイトがアクセス不能になる状態になりました。これはAmazon.comのクラウドサービスS3やEC2にも影響を与えました。

  タイミングから考えれば、これはクリスマス前日のプレゼント駆け込み購入を狙っていて、完全に営業妨害のためのDDoSです。CNetの記事によると、なんらかのサーバー身代金の脅迫があったかどうかは不明ですが、商売の掻き入れ時にこのような営業妨害があれば、企業によってはお金で解決する道を選んでしまうかもしれないでしょう。
 
   Xmas商戦シーズンはDDoSで稼ごう のポストでは、ボットネットを使うDDoSは、1時間あたり8ドルくらいから24時間でも60ドル程度の低価格で犯罪組織に発注が可能で、不況により生活苦に陥った人たちが犯罪者にコンバージョンされているという話をしました。AmazonやWal-Martなどの有名サイトなら記事にも書かれますが、中小企業が運営するサイトならDDoSに遭っていてもメディアに出てこないでしょうから、実際にはもっと多数発生している可能性もあります。

  このような攻撃はある日突然やって来ます。どうも自社サイトが重くなった、あるいは接続できないという問い合わせのメールがユーザーから入る、などで気がつきます。そしてしばらくすると、例えば「私は生活が苦しい。だからお前の会社にDDoSする。私に¥100万払ったらすぐ攻撃止める。振込口座はxxx1234567」のようなメールが来ます。よく見ると中国語も混じっているかもしれません。

  たいていの場合、始めはただの迷惑メールだと考えて放置するかもしれません。すると数日後もっと攻撃のトラフィックが上がります。そしてまた犯人からメールが来ます「私が生活が苦しいと頼んでいるのに、お前の会社は無視した。だから攻撃を強くした。金を払わないともっと強くする。」

  この段階になったら対策を考える必要が出て来ます。インシデント対応サービスを提供しているセキュリティ会社に相談することも必要かもしれません。
  しかし同時に犯人に対してコミュニケーションする必要もあります。ここはセンシティブな段階なので注意が必要で、よく言われるのは、犯人に対して「警察に連絡する」などのような逆脅しをかけてはいけないということです。これは、毅然とした態度を取ろうとするあまりやってしまいがちな問題のようですが、犯人を逆上させ攻撃を強めて来る結果を導き易いのです。もし別な作戦を取るなら「私たちの会社も不況のため経営が苦しく倒産ぎりぎりなので払える金はない」など、あえて不況を理由にしてしまう手もあるかもしれません。

(このポストを書くのに、CDI-CIRT他いくつかの報告を参考にさせていただきました)

Xmas商戦シーズンはDDoSで稼ごう

  アメリカのThanks Givingでのブラックフライデイやサイバーマンデー、日本でもクリスマスショッピングなどネット販売が盛んになる時期には、オンラインショップにとってシステムが止まることは多額の損害をもたらします。そこでボットネットを活用して低価格でDDoSを仕掛け、システムを使用不能にし身代金を取るタイプの脅迫を行う犯罪者にとっても、この時期は掻き入れ時になるはずです。

  「...犯罪者はボットネットを時間貸ししていたりするわけで、それならば資金さえあれば誰でも有名な国に対してサイバー攻撃を仕掛けることができるはずです。...」と、以前書いたのは『韓国とアメリカに対するサイバー攻撃の犯人は誰だったのか』のポストでしたが、実際のところボットネットを使ってDDoSを行うのはいくらくらいの金額なのでしょうか?

  どうやら、安い所では1時間あたり8ドルくらいで出来るようです。連続でやりたい場合は、5時間が30ドル、24時間が60ドルという話もあります。またどれくらいの量のDDoSを行うかでも料金は変わり、1000Mbpsくらいで100ドル、10000Mbpsくらいで900ドルくらいという噂もあります。

  さらに通常は依頼者とボットネットをコントロールする犯罪者は直接顔を合わせることもないため、依頼者が安心して支払う気になるように、最初に発注する場合に10分〜15分のDDoSをサービスするサイトもあるそうです。日本のインターネットをモニターしているテレコムISACでも15分程度の短時間のDDoSが多数観察されるようになっている、という話題を聞きました。

  この程度の金額ならば、それまでは犯罪者ではなくても、昨年の経済危機からの不況で生活苦に陥った人たちが充分に手を出せる価格です。そして中小企業のサイトはセキュリティ予算も少なく充分なサーバー能力や回線速度を持っていないことが一般的ですから、ターゲットにされた場合は対策が難しい訳です。この状況は、はっきり言って困ったものです。

(このポストを書くのに、CDI-CIRT他いくつかの報告を参考にさせていただきました)

ネットのフィッシング、リアルの銀行ATMスキミング

  スウェイジ・スパム のポストにあるように、ネット上で人々の注目を引く出来事には、すぐにそれを利用してマルウェアサイトへ誘導するスパムが発生しています。フィッシングを仕掛ける側は手段を選びません。しかし人を騙すことにおいては、ネットの世界のテクニックとリアルの世界のテクニックは変わらくなってきているようです。

  最近、事件映像を集めているLiveLeakに上がっていたのは、監視カメラに写った、ブラジルのとある銀行ATMのカード読み取りスロット部分に覆いかぶさる、スキミング用の偽のカバー部品を取り付けている最中の男の姿でした。幸いにも、映像の後半でこの男の仲間と思われる人物が現金をおろしている最中に、警察に捕まって手錠をかけられてしまいますが、取り付けられていた部品は注目するべきものです。

  映像の最後の方でアップになりますが、このスキミング装置は2つに分かれています。カード挿入部分にぴったり被さるように作られたプラスティックのカバーには、カードの情報の読み取り器が入っています。また、カード読み取り器のコントローラーと思われる電子装置の入った薄いパネルが、モニタースクリーンの下側に挿入されて取り付けられていました。

  この犯罪の手順はたぶん、このような流れだと推測されます:
1. 装置のインストール役の犯罪者が銀行ATMにスキミング装置を取り付ける。
2. 何も知らない銀行利用者がカードをATMに挿しこむたびに、カード読み取り器が同時にカード情報を盗み読んでコントローラーに蓄積、またコントローラ装置は暗証番号を打つ時のキーパッドの動きも記録する。(カメラで撮影するか、キーパッドに被せるタッチパネルシートなどを使う)
3. 近所にいる犯罪者は無線でカード情報を取り出して集め、ブランクのカードに転写して偽造ATMカードを作る。
4. 偽造したATMカードを持って銀行へ行き、盗んだ暗証番号で現金を引き出す。

  ヨーロッパなどでは最近はATM装置そのものの偽造もあるので、「壁に取り付けられていないスタンドアローンのATMにはカードを挿すな」と言われるようになって来ましたが、この映像にあるように壁に取り付けられたATM装置も安心できません。同じ銀行の他のATM機と比較して、自分がカードを挿入しようとしているATMは外観が同じかどうかチェックする必要がありそうです。
  日本ではまだこれほどのATMスキミングの話題は出ていないようですが、今後は利用者自身も警戒が必要かもしれません。

Appleの「It's only rock and roll」イベントとiPod Touch OS3.1

  09年09月09日は、Appleの「It's only rock and roll」イベントがサンフランシスコで開催されている日です。これは音楽にフォーカスしたイベントでiPod新製品が発表されるという噂が事前にありましたが、関係者の間ではSteve Jobsがステージに登場してプレゼンしたことの方に関心が高まりました。しかし、このイベントではセキュリティ的にも大事な発表が混じっていました。iOS3.1が無償でiPod Touchにも提供することが発表されたからです。

  iPhone OS 3.0の6月18日リリースに含まれる脆弱性対応 のポストの中で「携帯電話機能がない以外はほとんど内容が同一のiPod Touchのユーザーには、おそらく同様の脆弱性修正を含むiPod Touch 3.0アップグレードは$9.95の有料になっていることです。」という話題がありましたが、今日の「It's only rock and roll」イベントで、OS3.1が無償でiPod Touchにも提供することが発表されたことでやっと対応されました。OS3.1はiTunesからダウンロードできるということです。

  とはいえ、www.apple.comを見てみると....まだOS3.0を$9.95で売ってますね。どうなっているのでしょう?
(ここまではイベント進行中に書き込み)

  イベント終了後にもう一度見てみると、サイトが変わっていて、たしかにOS3.1になっています。しかし、以前からのiPod Touchユーザーには$4.95という有償アップグレードの表示になっています。(プレゼンでの話は、すでに本体所有してる人へという解釈のようです)
  結局これでは、アップグレードしない人のOSに脆弱性が残る問題は続きます。

世界のセキュリティコンファレンス - アメリカ大陸

  ベガスで「Black Hat」が開催さらにBlack Hat USA方面の話題 などの記事でも触れていましたが、世界のセキュリティ専門家の集まるコンファレンスは、最新情報を入手できることと専門家同士が直接意見交換できる場所として、セキュリティ業界の重要な機能を果たしています。ここではいくつかを紹介してみましょう。

  7月に様々なニュースに話題が出ましたが、ラスベガスで開催されるBlack Hat USAは数あるセキュリティコンファレンスの中でも最大級の内容に発展しました。Black Hatは2日間の参加費が$1500とかなり高額な方ですが、それでも4000人以上が集まるイベントになっています。参加者は政府関係者・企業・独立系セキュリティコンサルタントで三等分される感じです。http://www.blackhat.com/

  Black Hatの元祖主催者のJeff Mossは、以前からDefconを開催してきた人で、こちらは今年で17回目。Defconは参加費が比較的安く済むためこちらも5000人以上が集まるイベントになっています。かなり世代交代したとはいえ、アンダーグラウンドの雰囲気をまだ少し伝えています。http://www.defcon.org/

  通常秋と春の2回開催されるComputer Security Instituteのコンファレンスは、展示会の比重が大きくメーカーやベンダー製品の概観を見て回るには役に立ちます。Computer Security Instituteは、統計情報も集めていてFBIと共同で発行しているCSI-FBIのレポートは引用されることが多く、2000年ころまではセキュリティのプレゼンテーションでやたらに参照されていました。http://www.gocsi.com/

  RSAコンファレンスは、もともと暗号学者の会議として始まり、アメリカ政府が暗号技術の輸出規制をしていた1990年代には激しい議論の場でしたが、2000年くらいからCSIと並ぶ総合セキュリティ展示会の面が強まる様相を呈して来ました。とはいえ主催して来たRSA Security社は、元々RSA暗号を開発したリベスト、シャミア、エーデルマンたちの始めた会社ということもあり、プレゼンテーションの内で暗号技術とデジタル署名にかけられる比重がまだ大きいといえます。http://www.rsaconference.com/

  カナダのバンクーバーで開催されるCanSecWestは、小さいながらも技術的内容が濃いことでしられ、今では500人を越える参加者が集まる様になりました。また「Pwn2Own」などの懸賞付きコンテストがあることから、MacOSやSafariやiPhoneの脆弱性の世界初の発表が相次ぎ、注目されるようになりました。このようなコンテストは、新しい問題点の発見を加速するのに最適といえそうです。
http://cansecwest.com/

さらにBlack Hat USA方面の話題

  さてBlack Hat USA2009の二日目、Twitterのタイムラインを見ていたところ、 iPhoneにSMSリモート・コード実行の脆弱性 についてチャーリー・ミラーとコリン・マリナーによるプレゼンテーションが行われた後あたりから、「iPhoneのSMS機能を停止する方法」やら「iPhoneのSMSを使えなくしたから他の方法で連絡するように」といったメッセージがたくさんアップされはじめました。

  さらにF-Secureのミッコも、このような↓ポストを投げていました。
Mikko_BHUSA_7-30-09
これが面白いのは、問題のiPhoneのリモート・コード実行
SMS脆弱性を利用した攻撃テキストメッセージには「四角が含まれる」特徴があるからです。

  もっと広範囲のSMS脆弱性の問題を扱ったゼーン・ラッキーとルイス・ミラスのプレゼンテーションは立ち見が出たほどになったそうです。ここではiPhoneだけでなく、WindowsMobileやAndroidも扱われていたそうです。

  さらに、Confickerについてプレゼンテーションする予定だったミッコですが、「犯罪組織の捜査中だから」ということで、ウィルスについて新しい内容の詳細を話さないように某捜査当局から圧力があったという話題が出ています。

  そして、昨年「DNSキャッシュ・ポイズニング」の公表で大きな話題となったダン・カミンスキーは、今年はPKIの基礎構造として使われているX.509の問題を指摘しました。認証システムのバックボーンとしてPKIが普及し始めてからそろそろ12年、
PKIに対してこの間に政府や民間で多額の投資が行われて来ています。日本でも各省庁でPKIを立ち上げブリッジする相互認証システムに数億円が使われているはず。
  ところが、ごく最近になってもMD2のような古いハッシュ関数が使われていたことなどが指摘され(VeriSignを含む)、SSLの裏付けも含め改善すべき問題が山積みといえそうです。ダン・カミンスキーによれば、この問題に対処するには「DNSSECに移行するしかない」ようです。

  毎年Black Hat USAの開催後には、多数の企業がセキュリティ対策に忙しくなります。今年もセキュリティの暑い夏は続いているようです。

Black Hat USA 2009にてiPhoneのSMSリモートコード実行脆弱性が公表に

  今、世界中のセキュリティ関係者はアメリカのラスベガスに続々集結して来ています。日本時間の今夜(アメリカでは29日)からスタートする世界最大規模のセキュリティコンファレンス「Black Hat USA 2009」に参加するためです。

  このBlack Hat USAコンファレンスには例年4000人近くのセキュリティ関係者が集まり、今年は29日と30日の2日間にわたって100本近いプレゼンテーションが行われます。今年は、F-Secureのミッコ・ヒッポネンも「The Conficker Mystery」と題したプレゼンテーションを行う予定になっています。

パトリック・ルノーが7月3日にポストしていた iPhoneにSMSリモート・コード実行の脆弱性 についても、30日に発見者のチャーリー・ミラーとコリン・マリナーによる解説が行われる予定です。しかし今日のForbe'sの記事によると、まだiPhoneの対策パッチはリリースされていないことが指摘されています。しかしSMSがらみの問題は、iPhoneだけの問題ではなさそうで、Windows MobileやAndroidでも同様の研究がなされています。今年のBlack Hat USAのスケジュールを見ると、やはりスマートフォン関係のプレゼンテーションは増えています。

  ラスベガスに行かなくても、これから2日間はTwitterなら @BlackHatEvents をフォローするか、あるいは #BlackHat のタグで検索すると、いろいろ面白い情報が見られるでしょう。

韓国とアメリカに対するサイバー攻撃の犯人は誰だったのか

   先週発生した 米国および韓国WebサイトへのLyzapo DDoS 攻撃 について、当初は北朝鮮が攻撃発信源という報道が飛び交ったりしました。しかしよく見ると、テクノロジー系メディアが比較的に慎重な報道だったのに対し、新聞を母体とする旧来からのメディアはすぐに北朝鮮の名前を出すなど、あまりにもステレオタイプな報道なのが見えて来ます。アメリカでも旧来メディアで扱いかたは同様だったようです。

  冷静に見ると、政治的意図を理由としたサイバー攻撃は、イスラエルとアラブ諸国間やインドとパキスタン間、ロシアと旧ロシア領国間などで、以前から多く発生しています。しかし、だからといって、これらのサイバー攻撃の裏側をすぐに国家や政治的対立に結びつけるのは、単純化し過ぎと云えるのではないでしょうか。

例えば、2007年のエストニアに対するサイバー攻撃の事件では、やはり当初ロシアからの攻撃だという説が喧伝されましたが、逮捕されたのはエストニアにいる大学生でした。そして、先週の韓国とアメリカに対するサイバー攻撃も、DDoSを実行していたマルウェアはイギリスにあるサーバーからコントロールされていたという話題が出て来ています。

よく考えれば、ボットネットをコントロールしている犯罪者はボットネットを時間貸ししていたりするわけで、それならば資金さえあれば誰でも有名な国に対してサイバー攻撃を仕掛けることができるはずです。さらに、サイバー攻撃を政治的対立に結びつけるのは解り易すぎる分、じつは他の意図によるメディアの情報操作だったりする可能性も疑わしいかもしれません。

セキュリティ情報とソーシャルメディアの関係: Twitterの場合

  6月にミッコ・ヒッポネンが来日したときインタビューでは、彼はブログなど最新のソーシャルメディアの利用に積極的な面とともに、特にTwitterの利用については「半年間経過して、4,000フォローを超えなければ続けないと思います。」などと意外にコンサバな面とを見せていました。

  しかし私はそう簡単にはあきらめて欲しくないと思っています。なぜなら、Twitterのような新しいメディアは、今までに前例がなかったわけですから将来を予測することも難しいので、単純にリーチできる人数だけで計測するのでは、何か大事なポイントを外してしまうかも知れないからです。

  TwitterしているF-Secureのメンバーでは、今のところミッコのフォロワーは1630くらい、パトリック・ルノーのフォロワーは740くらい、フェイ・ウィン・チアのフォロワーは49くらいです。でも、坂本龍一さんの日本語Twitterアカウントがフォロワー452だったりしますからミッコの方が多い。他のセキュリティ関係者でも、ウェブアプリのセキュリティで知られるジェレマイア・グロスマンのフォロワーは1590くらい、DNSキャッシュポイズニング発見のダン・カミンスキーのフォロワーは2740くらい、Metasploitのhdmooreのフォロワーは3090くらいです。

  また企業名アカウントだからといって特にフォロワーが増えるわけでもありません。F-Secure Labsのフォロワーは600くらい。ではご近所業種はというと、McAfee AvertLabsでは1810くらいで、Kasperskyは1970くらいといった具合。ミッコ1人とさほど変わらないくらいのフォロワー数です。

  しかし違う視点で見てみると、アルファ・ブロガーとして知られるネタフルKogureさんのフォロワーは4650くらい、Kengoさんのフォロワーは14530くらいというように、今までのメディアでの知名度を尺度として考えてしまうと、Twitterでの人気の出方の実情が理解できなくなってしまいます。

  さらに違うのは、特に速報性という面ではTwitterは今までのニュースメディアを追い越している部分がありますから、即時性の必要なセキュリティ情報については情報発信すること自体が有益です。そして興味を持たれたポストは、「ReTweet」(RTと略す)という形でたくさんの人が複製し伝搬して行きますから、フォロワーの数というよりも、自分のポストに興味を持っている人たちがどれだけたくさんフォロワーに存在するかという方が重要なことが多いのです。

  Twitter自体の総ユーザー数も増加し続けていて、6月末には世界中で3700万人を越えたという話題が出ています。2008年の12月には500万人くらいのユーザー数だったことを考えれば、このような変化の激しいソーシャルメディアとは、情報発信する側も関わり方を研究しながら進める必要があるのではないでしょうか。

ミッコ・ヒッポネンも講演した「エフセキュア日本法人10周年記念セミナー」

  今日6月24日に  「エフセキュア日本法人10周年記念セミナー」  が開催され、フィンランドからF-Secureのチーフ・リサーチ・オフィサーのミッコ・ヒッポネンが来日して「セキュリティ脅威の変遷−サイバーテロへの警鐘」と題した講演を行いました。

MikkoHypponen_6-24-09

  この講演は「Malware History and Future」に焦点を当てて、技術者でない一般のPCユーザーにもマルウェアやコンピューターウィルスの現状が比較的わかり易い内容になっていました。
 
 まず歴史として、以前はウィルスが作成されていたのはほとんどアメリカやヨーロッパなどの先進国だったのが、2003年付近からはロシア、南アメリカ、中国が主なマルウェア/ウィルス産出地域となって来ていて、またウィルス作成者のプロフィールも最近ではギャングや犯罪者となっていていることを解説しました。

  これら犯罪者がマルウェア作成に参入して来た理由はそれが金になるからであり、キーロガーを仕込んだウィルスによりIDやパスワードの窃盗が行われてクレジットカード偽造や銀行口座が悪用されたり、マルウェアに感染させたPCを結合してボットネットを形成し、eコマースサイトなどへの攻撃を理由にした脅迫で身代金を取る手法などが紹介されました。Darkmarketというケースでは2008年にトルコで犯罪者が逮捕されましたが、捜査官が犯罪者の隠れ家に踏み込んでみると、クレジットカードを実際に偽造する装置が発見されたそうです。

  サイバー犯罪者がこれらの地域から出て来る背景としては、技術があっても住んでいる場所が例えばロシアの僻地やブラジルの貧民街だったりするために、技術職に付けない人々がいるからであろうという推測がされています。例では、サイバー犯罪者の集まるオンラインフォーラムで自称9歳の少年がクレジットカード情報のクラック方法の教えを求めていたものが観測されたそうです。

  また最近のマルウェアの進化は著しく、Mebrootと呼ばれるマルウェアについて、ミッコによれば今まで発見されたマルウェアの中で一番進化したものと言っていました。Mebrootのような高度なマルウェアの開発には少なくとも40〜50人月かかると推定されますが、犯罪者はそれだけの手間をかけても投資対成果があると考えていることになり、実際にMebrootは世界中の50余の銀行サイトをターゲットにしていることが判明しているそうです。

  今後の次世代のマルウェアがどこを狙うかという点では、携帯電話、特にスマートフォンが主戦場になると予想されていて、F-Secureではすでにいくつもの携帯電話マルウェアを発見していますが、これらのテストは電波を遮断するシールドルームで行われているそうです。

  このように増加するマルウェアに対抗していくため、F-Secureは世界各地に研究所を作っていて、時差に沿って常に世界中どこかの研究所が稼働している体勢を作り、連日24時間でマルウェア分析することが可能ということです。また「Anti Virus in the Cloud」というクラウドコンピューティングを利用したウィルス対応サービスも稼働していて、今後とも終わりのないマルウェアとの戦いを続けて行く体勢を固めているということでした。

 

iPhone OS 3.0の6月18日リリースに含まれる脆弱性対応

   今日6月18日、iPhone OS 3.0がリリースされました。 モバイル・マルウェアの潮流を待ちながら のポストでは、iPhone 3GSについて触れられていましたが、iPhone OS 3.0は昨年発売されたiPhone 3Gにもカット/コピー/ペーストやSpotlightサーチやステレオBluetoothやボイスレコーダーApp常備など新しい機能をもたらすものとして、6月初旬のWWDCでの発表時から話題になっていました。

  しかしセキュリティの立場からiPhone OS 3.0を見ると、じつは46にわたる脆弱性の修正が含まれているため、単に新機能を求めてというよりも、絶対にすぐ3.0にアップグレードするべき内容といえます。

  Appleのサポートサイトの発表によると、この脆弱性修正には、PDFファイルに含まれる悪意のあるコードの実行可能性に関わるCore Graphicsの修正、悪意のあるExchangeサーバーへの誘導に関わる修正、Unicodeを使った細工による悪意のあるサイトへの誘導に関わる修正、MailでのHTMLメールに含まれるイメージの自動ロードに関わる修正やメールから自動的に電話をかけさせる挙動の修正、悪意のあるMP-4ファイル再生によりiPhoneがリセットされる問題の修正、IPSecツールのメモリーリークがDoSアタックを起こす可能性の修正、SafariやWebkitが悪意のある細工をされたサイトにアクセスすることにより他のサイトに影響を及ぼす可能性や情報流出を引き起こす可能性やクロスサイト・スクリプティングに関わる修正、ウェブサイト側がユーザーを秘密裏にトラッキングできる問題の修正など多岐にわたっています。

  実際のところiPhone OS 3.0の機能は魅力的なものばかりなので、大多数のユーザーは3.0へのアップグレードを早急に行うでしょう。それらのインセンティブがあるということは、普通のセキュリティ・アップデートに比べれば、かなりポジティブな状況といえます。しかし、よく見てみると、今回の3.0アップグレードのリリース方法には一つ問題があります。というのは、携帯電話機能がない以外はほとんど内容が同一のiPod Touchのユーザーには、おそらく同様の脆弱性修正を含むiPod Touch 3.0アップグレードは$9.95の有料になっていることです。

  4月時点での話題によると、世界中での販売台数ではiPhoneが2100万台、iPod Touchが1600万台、合わせて3700万台ですから、このAppleプラットフォームの内の43%になるiPod Touchのアップグレードが有料ということは、そのインセンティブが下がることになり、脆弱性が比較的長い間放置される可能性があるということになります。

  今回のiPhone OS 3.0アップグレードは、セキュリティパッチ・リリースについてのポジティブな可能性と難しさを両方示したことになるかもしれません。

Mac OS XのJava脆弱性パッチがリリース

  MacOSXセキュリティアップデートから抜け落ちたJava脆弱性対策で触れたJava脆弱性 CVE-2008-5353 のパッチは、昨日6月15日にAppleからリリースされた「Java for Mac OS X Update 4 V1.0」に含まれているそうです。Macユーザーの方々はすぐに対応することがお勧めです。

  ただし、Landon Fullerのポストによると、Safariを使っている場合は環境設定の中の「Open "safe" files after download」設定を常にオフしておくことも勧められています。

  この脆弱性はJavaそのものの脆弱性ということで、MacOS Xだけではなく、Windows, Linux, OpenBSDなどのOS上で動くFirefox, IE6, IE7, IE8, Safariが影響されるという、広範囲に及ぶ問題でした。このJava脆弱性が残っていると、複数のプラットフォームで同じエクスプロイットを走らせることが可能になってしまうという、ある意味Javaの目的そのものを実現するものではありました。

  しかし広く眺めてみれば、ここ数年の脆弱性問題は、PDF、Flash、Javaスクリプトなどの複数プラットフォームで利用される技術や、.doc、.xlsなど一般的に広く普及したために事実上標準利用されることになったファイルフォーマットなど、クロスプラットフォームであることが解ります。 6月24日のミッコ・ヒッポネンによるスペシャル講演「セキュリティ脅威の変遷−サイバーテロへの警鐘」 では、このあたりの最新の話題も話されることを期待しています。

オバマ大統領の5月29日サイバーセキュリティ・スピーチ

  サイバースペース保護 のポストは、オバマ大統領がサイバースペース保護のための政策を発表したことについて書かれていますが、この中にYouTubeビデオでスピーチの様子も見られるようにリンクがあります。

  このスピーチで興味深いのは、オバマ大統領はその中で、昨年の選挙キャンペーン期間中にオバマ陣営で使われていたコンピューターシステムに侵入があったことを語っていることです。特に昨年8月から10月にかけての期間に「ハッカーが電子メールやキャンペーンファイル、政策ポジションペーパーや旅程へのアクセスを得ていた」ことを明らかにしています。(ただし、選挙資金集め用ウェブサイトは被害はなかったことも説明し、「みなさんの機密個人情報や会計情報は守られていました。」という部分で笑いも誘いますが)

  オバマ大統領は2008年の大統領選挙運動に際して、ソーシャルネットワーキングサービス(SNS)をはじめとして、あらゆるメディアを使ってアメリカ国民の支持を集めたといわれ、群集の意思をうまく束ねて勝利したという評価が高いですが、自身の経験としてサイバーセキュリティを語れる最初の大統領とも評されるかもしれません。

  また、 サイバースペース保護 で引用されていた「現在の情報時代は、まだ初期の段階にあります。我々はWeb 2.0に生きているに過ぎないのです。」というセンテンスは「今から、我々のバーチャルワールドは感染するように拡大して行くでしょう。(Now our virtual world is going viral.)」と続き、テクノロジーがユビキタスに普及していくことも予想しています。

  このスピーチではいくつもの重要な点が上げられていますが、興味深いのは政策アクション方針として3番目に上げられている「我々は、この目的に向かう努力のために非常に重要な、公共/民間パートナーシップを強化して行くつもりです。(we will strengthen the public/private partnerships that are critical to this endeavor.)」という部分でしょう。特に、次のセンテンスでは情報インフラが民間によって運用されていることを認め、その次のセンテンスで「私の政権は、民間企業に向けてセキュリティ標準を一方的に指令するつもりはない。(My administration will not dictate security standards for private companies.)」と、はっきり言い切っています。

  これはなぜ重要かというと、アメリカ政府周辺機関において、どの機関がサイバーセキュリティのイニシアティブを取るかが、長い間議論の的となっていたからです。サイバーセキュリティに対して、軍では、国防の延長として軍が指揮を取り民間が従うべきだという主張があります( 投票:サイバー防衛 のポストにある「米国空軍大佐がSkynetを提案」リンクで見られますが、この大佐は軍用ボットネットを提案していました)。また、暗号解読や海外通信の盗聴活動で知られるNSA(国家安全保障局)では、国家安全保障の枠組みの延長としてNSAがリードするべきという流れもあります。

  しかし、実際のインターネット・インフラが民間企業が結集して作り上げたものである以上、これらの国か軍が一方的にサイバーセキュリティを指揮するという発想には本質的に無理があります。今回オバマ大統領がその点をはっきりさせたことは非常に重要です。ただし、それと同時に、これは民間企業に対して国家レベルのサイバーセキュリティの責任を一翼を求めることでもあります。この点については、今後さらに議論が出て来ることでしょう。

パスワードメモのソルティング-その2....L0phtcrack 6発表

  パスワードのメモをソルティングする以前に、どのようなパスワードを作るかは大事です。しかし、一般のPC個人ユーザーにとっては「パスワードを忘れてしまうこと」の方が大問題ですから、名前+生年月日のようなパターンはどうしても出て来てしまいます。「難しいパスワードを作れ」と言う以前に、一般ネットユーザーとしては「覚え易くて強度のあるパスワードの作り方はないのか?」という方が差し迫った問題かもしれません。

  パスワードの話題が出たところですが、ちょうど昨日5月26日にパスワードクラッカーとして長年有名な「L0phtcrack」の新バージョン6が発表されました。最初のバージョンは1997年発表ですから、すでに12年あまりの歴史のあるアプリケーションということになってしまいました。L0phtcrackを開発したのはアメリカのボストンにあったハッカーグループ「L0pht Heavy Industries」ですが、これは後に@Stake社というセキュリティコンサルティング会社となり、最終的にはSymantec社に買収されました。実際には優秀なメンバーはじつはSymantec社による買収直前に辞めてしまっていて、独自にiSec Partners社などのセキュリティ企業を立ち上げて活躍しています。

  この新バージョン発表に合わせて、http://www.l0phtcrack.com/にはL0phtcrackの解説ビデオがアップされていますが、この中でパスワードクラッカーがどのように解読を試みるかのヒントが少し触れられています。パスワードクラッカーには、人間がどのようにパスワードを作るかという傾向を分析したルールテーブルがあり、それを使って、まずはパスワードを前半と後半に分けてクラックしていきます。ということは、パスワードクラッカーの仕組みを知れば、ある程度の裏をかくことが出来るかもしれません。

  よくあるパターンと言われているものは、文字が前+数字が後ろになっているものがあります:
abcd1234
abcde123
abcdef12

  名前+生年月日などのようなパスワードはこのパターンにハマりますから、後半の末尾を数字と予測してクラックしていくと効率が上がりますね。また、名前の場合なら最初が大文字になっている場合が多いでしょう
Abcd1234
Abcde123
Abcdef12

   ということは、後ろに数字を持って来たパスワードは弱いことになりますし、最初の文字を大文字にするのは効果が薄いわけです。しかし、だからといって、これを裏返して単純に数字を前に持って来るパターンの:
1234abcd
123abcde
12abcdef
にしても、これも予測し易いので同じ程度の強さしかないでしょう。

  そこでの一手は、文字と数字を交互にする手法です。また大文字を途中に混ぜれば良くなるでしょう。
1a2B3c4D
aB1c2D3e
aB1cD2Ef

  これを元にいじると、名前+生年月日でもある程度強度のあるパスワードが作れるかもしれません。例えば:
Mika 1129 → m1I1k29A
Kyoko 323 → kY3ok23O
Kiyosi 81 → kI8yO1sI

  セキュリティ関係者から見ると、名前+生年月日を使うというだけで「セキュリティをダメにする」から論外という意見もあるかもしれませんが、「フツーの人々」が大多数のインターネットユーザーとなった現在では、「覚え易くて強度のあるパスワードの作り方」の手法はもっと研究されて一般的になる必要があるかもしれません。
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード